A BGP konfigurálása az Azure VPN Gateway-hez: PARANCSSORI

Ez a cikk segít engedélyezni a BGP-t a helyek közötti (S2S) VPN-kapcsolatokon és a virtuális hálózatok közötti kapcsolatokon az Azure CLI használatával. Ezt a konfigurációt a Azure Portal vagy a PowerShell-lépésekkel is létrehozhatja.

A BGP az interneten gyakran használt szabványos útválasztási protokoll az útválasztási és elérhetőségi információcserére két vagy több hálózat között. A BGP lehetővé teszi, hogy az Azure VPN-átjárók és a helyszíni VPN-eszközök( más néven BGP-társ vagy szomszédok) "útvonalakat" cseréljenek, amelyek tájékoztatják mindkét átjárót az előtagok rendelkezésre állásáról és elérhetőségéről az érintett átjárókon vagy útválasztókon. A BGP lehetővé teszi a több hálózat közötti tranzit útválasztást azon útvonalak propagálásával az összes többi BGP-társ számára, amelyeket a BGP-átjáró az egyik BGP-társtól vesz át.

A BGP előnyeiről, valamint a BGP használatának technikai követelményeiről és szempontjairól a BGP és az Azure VPN Gateway ismertetése című témakörben olvashat bővebben.

A cikk minden része segít létrehozni egy alapszintű építőelemet a BGP hálózati kapcsolatban való engedélyezéséhez. Ha mindhárom rész (a BGP konfigurálása az átjárón, az S2S-kapcsolaton és a virtuális hálózatok közötti kapcsolaton) befejezi a topológiát az 1. ábrán látható módon.

1. diagram

Ezeket a szakaszokat kombinálva összetettebb, igényeinek megfelelő többhop-alapú tranzithálózatot hozhat létre.

Előfeltételek

• Használja a Bash-környezetet az Azure Cloud Shell. További információ: Rövid útmutató a Bashhez az Azure Cloud Shell-ban.

  

• Ha inkább helyileg szeretné futtatni a PARANCSSORI referenciaparancsokat, telepítse az Azure CLI-t . Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd: Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

BGP engedélyezése a VPN-átjáróhoz

Erre a szakaszra a másik két konfigurációs szakaszban szereplő lépések végrehajtása előtt van szükség. Az alábbi konfigurációs lépések az Azure VPN Gateway BGP-paramétereit állítják be a 2. ábrán látható módon.

2. diagram

A TestVNet1 létrehozása és konfigurálása

1. Erőforráscsoport létrehozása

Az alábbi példa egy TestRG1 nevű erőforráscsoportot hoz létre az "eastus" helyen. Ha már van erőforráscsoportja abban a régióban, ahol létre szeretné hozni a virtuális hálózatot, használhatja azt.

az group create --name TestRG1 --location eastus

2. TestVNet1 létrehozása

Az alábbi példa egy TestVNet1 nevű virtuális hálózatot és három alhálózatot hoz létre: GatewaySubnet, FrontEnd és BackEnd. Az értékek helyettesítésekor fontos, hogy az átjáró alhálózatának mindig a GatewaySubnet nevet adja. Ha ezt másként nevezi el, az átjáró létrehozása meghiúsul.

Az első parancs létrehozza az előtérbeli címteret és a FrontEnd alhálózatot. A második parancs egy további címteret hoz létre a Háttérbeli alhálózat számára. A harmadik és negyedik parancs létrehozza a BackEnd alhálózatot és a GatewaySubnetet.

az network vnet create -n TestVNet1 -g TestRG1 --address-prefix 10.11.0.0/16 --subnet-name FrontEnd --subnet-prefix 10.11.0.0/24

az network vnet update -n TestVNet1 --address-prefixes 10.11.0.0/16 10.12.0.0/16 -g TestRG1
 
az network vnet subnet create --vnet-name TestVNet1 -n BackEnd -g TestRG1 --address-prefix 10.12.0.0/24
 
az network vnet subnet create --vnet-name TestVNet1 -n GatewaySubnet -g TestRG1 --address-prefix 10.12.255.0/27

A TestVNet1 VPN-átjárójának létrehozása BGP-paraméterekkel

1. A nyilvános IP-cím létrehozása

Kérjen egy nyilvános IP-címet. A nyilvános IP-cím a virtuális hálózathoz létrehozott VPN-átjáróhoz lesz lefoglalva.

az network public-ip create -n GWPubIP -g TestRG1 --allocation-method Dynamic 

2. Hozza létre a VPN-átjárót as számmal

Hozza létre a TestVNet1 virtuális hálózati átjáróját. A BGP Route-Based VPN-átjárót igényel. A TestVNet1 autonóm rendszerszámának (ASN) beállításához további paraméterre -Asn is szükség van. Az átjáró létrehozása akár 45 percet vagy hosszabb időt is igénybe vehet a választott átjáró-termékváltozattól függően.

Ha a paraméterrel futtatja ezt a --no-wait parancsot, nem lát visszajelzést vagy kimenetet. A --no-wait paraméter lehetővé teszi, hogy az átjáró a háttérben legyen létrehozva. Ez nem jelenti azt, hogy a VPN-átjáró azonnal létrejön.

az network vnet-gateway create -n VNet1GW -l eastus --public-ip-address GWPubIP -g TestRG1 --vnet TestVNet1 --gateway-type Vpn --sku HighPerformance --vpn-type RouteBased --asn 65010 --no-wait

Az átjáró létrehozása után ezzel az átjáróval létesíthet létesítmények közötti kapcsolatot vagy virtuális hálózatok közötti kapcsolatot a BGP-vel.

3. Az Azure BGP társ IP-címének beszerzése

Az átjáró létrehozása után be kell szereznie a BGP társ IP-címét az Azure VPN Gatewayen. Ez a cím szükséges a VPN-átjáró BGP-társként való konfigurálásához a helyszíni VPN-eszközökhöz.

Futtassa az alábbi parancsot.

az network vnet-gateway list -g TestRG1

Jegyezze fel a bgpSettings kimenet tetején található szakaszt. Ezt a

"bgpSettings": { 
      "asn": 65010, 
      "bgpPeeringAddress": "10.12.255.30", 
      "peerWeight": 0 
    }

Ha nem látja a BgpPeeringAddress IP-címként megjelenített értékét, az átjáró továbbra is konfigurálva van. Próbálkozzon újra, ha az átjáró elkészült.

Létesítmények közötti kapcsolat létrehozása a BGP-vel

Létesítmények közötti kapcsolat létrehozásához létre kell hoznia egy helyi hálózati átjárót, amely a helyszíni VPN-eszközt képviseli. Ezután csatlakoztatja az Azure VPN-átjárót a helyi hálózati átjáróhoz. Bár ezek a lépések hasonlóak más kapcsolatok létrehozásához, a BGP-konfigurációs paraméter megadásához szükséges további tulajdonságokat is tartalmazzák, a 3. ábrán látható módon.

3. diagram

A helyi hálózati átjáró létrehozása és konfigurálása

Ez a gyakorlat továbbra is létrehozza a diagramon látható konfigurációt. Ne felejtse el az értékeket olyanokra cserélni, amelyeket a saját konfigurációjához kíván használni. Amikor helyi hálózati átjárókkal dolgozik, tartsa szem előtt a következőket:

• A helyi hálózati átjáró lehet a VPN-átjáróval azonos helyen és erőforráscsoportban, vagy egy másik helyen és erőforráscsoportban is. Ez a példa a különböző erőforráscsoportok átjáróit mutatja be különböző helyeken.
• A helyi hálózati átjáróhoz deklarálandó minimális előtag a BGP-társ IP-címének állomáscíme a VPN-eszközön. Ebben az esetben ez a 10.51.255.254/32 előtag /32 előtagja.
• Emlékeztetőül, különböző BGP ASN-eket kell használnia a helyszíni hálózatok és az Azure-beli virtuális hálózat között. Ha megegyeznek, módosítania kell a virtuális hálózat ASN-ét, ha a helyszíni VPN-eszközök már használják az ASN-t más BGP-szomszédokkal való társviszony létesítésére.

Mielőtt továbblép, győződjön meg arról, hogy elvégezte a gyakorlat BGP engedélyezése a VPN-átjáróhoz szakaszát. Figyelje meg, hogy ebben a példában egy új erőforráscsoportot hoz létre. Figyelje meg a helyi hálózati átjáró két további paraméterét is: Asn és BgpPeerAddress.

az group create -n TestRG5 -l westus 
 
az network local-gateway create --gateway-ip-address 23.99.221.164 -n Site5 -g TestRG5 --local-address-prefixes 10.51.255.254/32 --asn 65050 --bgp-peering-address 10.51.255.254

A virtuális hálózati átjáró és a helyi hálózati átjáró csatlakoztatása

Ebben a lépésben létrehozza a kapcsolatot a TestVNet1 és a Site5 hálózat között. Meg kell adnia a --enable-bgp BGP engedélyezéséhez szükséges paramétert ehhez a kapcsolathoz.

Ebben a példában a virtuális hálózati átjáró és a helyi hálózati átjáró különböző erőforráscsoportokban található. Ha az átjárók különböző erőforráscsoportokban találhatók, meg kell adnia a két átjáró teljes erőforrás-azonosítóját a virtuális hálózatok közötti kapcsolat beállításához.

1. A VNet1GW erőforrás-azonosítójának lekérése

A VNet1GW erőforrás-azonosítójának lekéréséhez használja a következő parancs kimenetét:

az network vnet-gateway show -n VNet1GW -g TestRG1

A kimenetben keresse meg a "id": sort. A kapcsolat következő szakaszban való létrehozásához az idézőjelek értékeire van szükség.

Példa a kimenetre:

{ 
  "activeActive": false, 
  "bgpSettings": { 
    "asn": 65010, 
    "bgpPeeringAddress": "10.12.255.30", 
    "peerWeight": 0 
  }, 
  "enableBgp": true, 
  "etag": "W/\"<your etag number>\"", 
  "gatewayDefaultSite": null, 
  "gatewayType": "Vpn", 
  "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW",

Másolja a következő "id": értékeket egy szövegszerkesztőbe, például a Jegyzettömbbe, hogy könnyedén beilleszthesse őket a kapcsolat létrehozásakor.

"id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"

2. A Site5 erőforrás-azonosítójának lekérése

A következő paranccsal kérje le a Site5 erőforrás-azonosítóját a kimenetből:

az network local-gateway show -n Site5 -g TestRG5

3. A TestVNet1-to-Site5 kapcsolat létrehozása

Ebben a lépésben létrehozza a kapcsolatot a TestVNet1 és a Site5 hálózat között. Ahogy korábban említettük, ugyanahhoz az Azure VPN-átjáróhoz BGP- és nem BGP-kapcsolatok is tartoznak. Ha a BGP nincs engedélyezve a kapcsolattulajdonságban, az Azure nem engedélyezi a BGP-t ehhez a kapcsolathoz, annak ellenére, hogy a BGP-paraméterek már konfigurálva vannak mindkét átjárón. Cserélje le az előfizetés azonosítóit a saját azonosítójára.

az network vpn-connection create -n VNet1ToSite5 -g TestRG1 --vnet-gateway1 /subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW --enable-bgp -l eastus --shared-key "abc123" --local-gateway2 /subscriptions/<subscription ID>/resourceGroups/TestRG5/providers/Microsoft.Network/localNetworkGateways/Site5

Helyszíni eszközkonfiguráció

Az alábbi példa a helyszíni VPN-eszköz BGP-konfigurációs szakaszában megadott paramétereket sorolja fel ehhez a gyakorlathoz:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

A kapcsolat néhány perc alatt létrejön. A BGP-társviszony-létesítési munkamenet az IPsec-kapcsolat létrehozása után kezdődik.

Virtuális hálózatok közötti kapcsolat létrehozása BGP-vel

Ez a szakasz virtuális hálózatok közötti kapcsolatot ad hozzá a BGP-vel, a 4. ábrán látható módon.

4. ábra

Az alábbi utasítások az előző szakaszok lépéseit követik. A TestVNet1 és a VPN Gateway BGP-vel való létrehozásához és konfigurálásához ki kell töltenie a BGP engedélyezése a VPN-átjáróhoz szakaszt.

A TestVNet2 és a VPN-átjáró létrehozása

Fontos, hogy az új virtuális hálózat( TestVNet2) IP-címtartománya ne legyen átfedésben a virtuális hálózat tartományaival.

Ebben a példában a virtuális hálózatok ugyanahhoz az előfizetéshez tartoznak. Virtuális hálózatok közötti kapcsolatokat állíthat be a különböző előfizetések között. További információ: Virtuális hálózatok közötti kapcsolat konfigurálása. Ügyeljen arra, hogy a BGP engedélyezéséhez a kapcsolatok létrehozásakor adja hozzá -EnableBgp $True a elemet.

1. Új erőforráscsoport létrehozása

az group create -n TestRG2 -l eastus

2. TestVNet2 létrehozása az új erőforráscsoportban

Az első parancs létrehozza az előtérbeli címteret és a FrontEnd alhálózatot. A második parancs egy további címteret hoz létre a Háttérbeli alhálózat számára. A harmadik és negyedik parancs létrehozza a BackEnd alhálózatot és a GatewaySubnetet.

az network vnet create -n TestVNet2 -g TestRG2 --address-prefix 10.21.0.0/16 --subnet-name FrontEnd --subnet-prefix 10.21.0.0/24

az network vnet update -n TestVNet2 --address-prefixes 10.21.0.0/16 10.22.0.0/16 -g TestRG2
 
az network vnet subnet create --vnet-name TestVNet2 -n BackEnd -g TestRG2 --address-prefix 10.22.0.0/24
 
az network vnet subnet create --vnet-name TestVNet2 -n GatewaySubnet -g TestRG2 --address-prefix 10.22.255.0/27

3. A nyilvános IP-cím létrehozása

Kérjen egy nyilvános IP-címet. A nyilvános IP-cím a virtuális hálózathoz létrehozott VPN-átjáróhoz lesz lefoglalva.

az network public-ip create -n GWPubIP2 -g TestRG2 --allocation-method Dynamic

4. Hozza létre a VPN-átjárót as számmal

Hozza létre a TestVNet2 virtuális hálózati átjáróját. Felül kell bírálnia az alapértelmezett ASN-t az Azure VPN-átjárókon. A csatlakoztatott virtuális hálózatok ASN-jeinek eltérőnek kell lenniük a BGP és az átvitel útválasztásának engedélyezéséhez.

az network vnet-gateway create -n VNet2GW -l eastus --public-ip-address GWPubIP2 -g TestRG2 --vnet TestVNet2 --gateway-type Vpn --sku Standard --vpn-type RouteBased --asn 65020 --no-wait

A TestVNet1 és a TestVNet2 átjáró csatlakoztatása

Ebben a lépésben létrehozza a kapcsolatot a TestVNet1 és a Site5 hálózat között. Ha engedélyezni szeretné a BGP-t ehhez a kapcsolathoz, meg kell adnia a paramétert --enable-bgp .

Az alábbi példában a virtuális hálózati átjáró és a helyi hálózati átjáró különböző erőforráscsoportokban található. Ha az átjárók különböző erőforráscsoportokban találhatók, meg kell adnia a két átjáró teljes erőforrás-azonosítóját a virtuális hálózatok közötti kapcsolat beállításához.

1. A VNet1GW erőforrás-azonosítójának lekérése

Kérje le a VNet1GW erőforrás-azonosítóját a következő parancs kimenetéből:

az network vnet-gateway show -n VNet1GW -g TestRG1

Példaérték az átjáróerőforráshoz:

"/subscriptions/<subscripion ID value>/resourceGroups/TestRG2/providers/Microsoft.Network/virtualNetworkGateways/VNet2GW"

2. A VNet2GW erőforrás-azonosítójának lekérése

Kérje le a VNet2GW erőforrás-azonosítóját a következő parancs kimenetéből:

az network vnet-gateway show -n VNet2GW -g TestRG2

3. A kapcsolatok létrehozása

Hozza létre a kapcsolatot a TestVNet1 és a TestVNet2, valamint a TestVNet2 és a TestVNet1 közötti kapcsolatot. Ezek a parancsok az erőforrás-azonosítókat használják. Ebben a gyakorlatban az erőforrás-azonosító nagy része már szerepel a példában. Mindenképpen cserélje le az előfizetés-azonosító értékeit a sajátjára. Az előfizetés-azonosítót több helyen is használják ugyanabban a parancsban. Ha ezt a parancsot éles környezetben használja, minden hivatkozott objektum teljes erőforrás-azonosítóját lecseréli.

az network vpn-connection create -n VNet1ToVNet2 -g TestRG1 --vnet-gateway1 /subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW --enable-bgp -l eastus --shared-key "abc123" --vnet-gateway2 /subscriptions/<subscription ID>/resourceGroups/TestRG2/providers/Microsoft.Network/virtualNetworkGateways/VNet2GW

az network vpn-connection create -n VNet2ToVNet1 -g TestRG2 --vnet-gateway1 /subscriptions/<subscription ID>/resourceGroups/TestRG2/providers/Microsoft.Network/virtualNetworkGateways/VNet2GW --enable-bgp -l eastus --shared-key "abc123" --vnet-gateway2 /subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW

Fontos

Engedélyezze a BGP-t mindkét kapcsolathoz.

A lépések elvégzése után a kapcsolat néhány percen belül létrejön. A BGP társviszony-létesítési munkamenet a virtuális hálózatok közötti kapcsolat befejezése után lesz felfelé.

Következő lépések

A BGP-vel kapcsolatos további információkért lásd: A BGP és a VPN Gateway ismertetése.